Vesta Control Panel - Forum

Posted: **Tue Jan 19, 2016 6:32 am**

Собственно вся суть в заголовке.

По логами вижу, что кто-то балуется с dovecot, перебирая пароли.

Вот логи: http://pastebin.com/pZKGyJun

Вот содержимое jail.local

Code: Select all

[ssh-iptables]
enabled  = true
filter   = sshd
action   = vesta[name=SSH]
logpath  = /var/log/auth.log
maxretry = 5

[vsftpd-iptables]
enabled  = false
filter   = vsftpd
action   = vesta[name=FTP]
logpath  = /var/log/vsftpd.log
maxretry = 5

[exim-iptables]
enabled = true
filter  = exim
action  = vesta[name=MAIL]
logpath = /var/log/exim4/mainlog

[dovecot-iptables]
enabled = true
filter  = dovecot
action  = vesta[name=MAIL]
logpath = /var/log/dovecot.log

[mysqld-iptables]
enabled  = false
filter   = mysqld-auth
action   = vesta[name=DB]
logpath  = /var/log/mysql.log
maxretry = 5

[vesta-iptables]
enabled = true
filter  = vesta
action  = vesta[name=VESTA]
logpath = /var/log/vesta/auth.log
maxretry = 5

Как быть? Как заблокировать назойливый перебор паролей и имейлов?

Posted: **Tue Jan 19, 2016 9:17 am**

Есть такое предложение, добавить в /etc/fail2ban/jail.conf следующее:

Code: Select all

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/dovecot.log
maxretry = 10
findtime = 1200
bantime = 12000

Перезапустить fail2ban.
Проверить и написать по результатам.

Posted: **Tue Jan 19, 2016 10:16 am**

Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи:

Code: Select all

2016-01-19 13:13:50,869 fail2ban.server [1026]: INFO    Stopping all jails
2016-01-19 13:13:50,979 fail2ban.jail   [1026]: INFO    Jail 'vesta-iptables' stopped
2016-01-19 13:13:51,963 fail2ban.jail   [1026]: INFO    Jail 'exim-iptables' stopped
2016-01-19 13:13:52,959 fail2ban.jail   [1026]: INFO    Jail 'dovecot-iptables' stopped
2016-01-19 13:13:53,943 fail2ban.jail   [1026]: INFO    Jail 'ssh' stopped
2016-01-19 13:13:54,975 fail2ban.jail   [1026]: INFO    Jail 'ssh-iptables' stopped
2016-01-19 13:13:54,982 fail2ban.server [1026]: INFO    Exiting Fail2ban

Posted: **Tue Jan 19, 2016 10:38 am**

DevilStar wrote:Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи

Убирайте.

И попробуйте просто поставить true в существующее правило в /etc/fail2ban/jail.conf (только обратите внимание на путь к логу.

Code: Select all

[dovecot]

enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/dovecot.log

Posted: **Tue Jan 19, 2016 10:49 am**

У меня там и так стоит true, и это не работает. Брутфорс продолжается.

Posted: **Tue Jan 19, 2016 11:04 am**

DevilStar wrote:У меня там и так стоит true, и это не работает. Брутфорс продолжается.

Адреса так полагаю очень разные и блокировать руками не особо вариант?

Posted: **Tue Jan 19, 2016 11:36 am**

Да, каждый день меняются, а то и по несколько раз. Оно вроде и нагрузку не создает, но всё равно ничего хорошего.

Vesta Control Panel - Forum

fail2ban не блокирует bruteforce на dovecot

fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot

Re: fail2ban не блокирует bruteforce на dovecot